Orchestrierung der Effektivität, Proportionalität & Effizienz durch Risk Values: Die Herausforderung
für ein funktionierendes Non-Financial-Risk-Management (NFRM) liegt nicht nur in der Implementierung
regulatorischer Anforderungen, sondern in risikozentrierter Implementierung von Risk Mitigation
Controls mit messbaren Risk Values und langfristigem Management der Risiken.
Ist das Verhältnis von Größe und Komplexität des Non-Financial-Risk-Managements (NFRM) für die Organisation hinsichtlich Proportionalität geeignet? Erfüllt das NFRM alle strategischen und operativen Anforderungen und werden Risiken im Sinne der Effektivität wirksam mitigiert? Ist das NFRM weiterhin ökonomisch/effizient tragbar? Das sind Kernfragen, die es zu beantworten gilt.
Die Problematik der Kernfragen liegt jedoch oftmals, wie in Abbildung 1 dargestellt, in der Orchestrierung der drei Komponenten innerhalb des NFRM in Verbindung mit der adäquaten Mitigation von Non-Financial-Risks. Oftmals ist festzustellen, dass weder die Komponenten in einem angemessenen Verhältnis zueinander stehen noch zu den vorhandenen Bedrohungen der Organisation verhältnismäßig sind. Die Folge hieraus ist ein Ungleichgewicht zwischen Proportionalität, Effizienz und Effektivität.
Abbildung 1: Das Zusammenspiel zwischen Effektivität, Proportionalität & Effizienz
Die zentrale Herausforderung liegt in der erfolgreichen Zusammenführung der drei Komponenten – Effektivität, Proportionalität, Effizienz. Ein kritischer Erfolgsfaktor ist der standardisierte Risikomanagementprozess!
Die Interaktion der drei Kriterien kann nur ermöglicht werden, wenn für die Non-Financial-Risk-Disziplinen der standardisierte Risikomanagementprozess, wie in Abbildung 2 dargestellt, das Fundament bildet. Hierdurch wird ein abgestimmtes und gemeinsames Agieren des NFRM möglich. Ein zusätzlicher Erfolgsfaktor ist die Synchronisation der NFRM-Disziplinen entlang der Teilschritte des einheitlichen Risikomanagementprozesses. Durch eine ganzheitliche Betrachtung der Non-Financial-Risiken und der Anpassung und Optimierung der gemeinsamen Schnittstellen des Prozesses wird das Interagieren begünstigt.
Abbildung 2: Der standardisierte Risikomanagementprozess als kritischer Erfolgsfaktor
Ein weiterer essentieller Bestandteil berücksichtigt die Koordination der Tätigkeiten des NFRM bezüglich der Abläufe und der zeitlichen Planung innerhalb der Organisation, wie zum Beispiel die koordinierte Einbindung der Fachbereiche für das NFRM und deren frühzeitigen Mitwirkung innerhalb des Change Managements.
Dadurch werden bereits bei der Implementierung von Changes NFR-konforme Lösungen generiert. Außerdem wird die ganzheitliche, gemeinsame und zyklische Planung sowie intelligente Steuerung des Prozesses, unter Berücksichtigung relevanter Stakeholder, eine absolute Notwendigkeit.
Der strategische Erfolgsfaktor zur Erfüllung der Kriterien
Der Non-Financial-Risk-Value-Ansatz übersetzt den standardisierten Risikomanagementprozess in ein Modell (NFRModell), welches insbesondere ein Augenmerk auf die risikozentrierte Steuerung des NFRM legt und den Fokus maßgeblich auf die drei Orchestrations-Kriterien – Proportionality, Effectiveness und Efficiency – setzt. Das Herzstück bildet hierfür die Strukturierung der Organisation in die Mindestkategorien Entity, Asset und Asset Components (Entity beschreibt hier die Gesamtheit der Organisation, während Asset sich auf eine einzelne Applikationen und Asset Components auf Komponenten von größeren und komplexeren Applikationen bezieht). Hier wird die Kritikalität der Prozesse und Technologien spezifisch festgestellt und die Implementierung mitigierender Maßnahmen entsprechend dem Risk-Appetite und anhand der Kritikalität ausgerichtet. Ein quantitativer Ansatz zur Risiko-Abschätzung, bei dem die Gewichtung der unterschiedlichen mitigierenden Maßnahmen unter anderem von der Kritikalität der Assets oder Asset Components abhängt.
Zum Beispiel wirkt sich, wie in Abbildung 3 dargestellt, die Implementierung Risiko mitigierender Maßnahmen auf „critical“ Assets mit einer 80-prozentigen Gewichtung auf das Gesamtrisiko aus, während für die Assets mit Kritikalität „high“ nur noch eine 20-prozentige Gewichtung vorgesehen ist. Die „medium“ und „low“ Assets sind hierbei zu vernachlässigen, da diese innerhalb des „Risk Appetites“ liegen. Dadurch ist die Grundlage für einen ganzheitlichen Non-Financial-Risk-Value-Ansatz geschaffen.
Abbildung 3: Non-Financial-Risk-Value-Ansatz als strategischer Erfolgsfaktor zur Gewährleistung von Effizienz, Effektivität & Proportionalität
Fallbeispiel: Quantitativer Teil des NFR-Value-Ansatzes
Der NFR-Value-Ansatz beruht auf der unterschiedlichen Gewichtung der Assets (z. B. bei Critical Assets mit einer 80-prozentigen Gewichtung, High mit 20 Prozent und Medium und Low mit 0 Prozent – abhängig vom Risk-Appetite) in der Gesamt-Risk-Value-Berechnung. Je NFR Function
(bspw. Infomation Security Management) fließen alle als „Critical“ eingestuften Assets gleichrangig ein. Durch die kritischen Assets ist damit ein maximaler Risk-Value in Höhe von 80 Prozent zu erreichen. Die weiteren 20 Prozent werden durch die Asstes der Einstufung „High“ abgebildet. Der dadurch berechnete NFR-Value spiegelt zum einen die Effectiveness der Risk-Mitigation-Controls wider und stellt gleichzeitig einen Indikator des Expected-Loss-Tolerance (ELT) dar. In anderen Worten, je höher der NFR-Value, desto weniger angreifbar sind Schwachstellen und desto geringer die ELT und umgekehrt. Der Non-Financial-Risk-Value-Ansatz basiert hierbei auf fünf Dimensionen mit unterschiedlichem
Einfluss auf die Kriterien Proportionalität, Effektivität und Effizienz:
Erste Dimension: Organization of NFRM
Die „Organization of NFRM“ bildet die Grundlage für die Formulierung einer ganzheitlichen NFR Strategie und Definition eines messbaren Risk-Appetites, welcher die Risikoeinstellung der Organisation im Zusammenhang mit dem Geschäftsmodell widerspiegelt. Ein wesentlicher (Effizienz)-Treiber ist hierfür die Implementierung eines Governancemodells, welches sowohl den Anforderungen der Gesamtorganisation als auch des NFRValue-Ansatzes entspricht und eine nachhaltige Steuerung der Risiken ermöglicht. Im Zusammenhang mit dem NFR-Governance- Modell ist ein konsistentes „Roles & Responsibilities“-Konzept von besonderer Bedeutung, welches insbesondere folgende Fragestellung adressiert und im besten Fall mit der im Unternehmen etablierten Organisationsform kompatibel ist. Welche Rollen und Verantwortlichkeiten in welcher Ausprägungsform werden für eine wirkungsvolle Steuerung der Risiken innerhalb der Organisation benötigt? Dies muss konzeptionell sehr durchdacht gestaltet
werden.
Zweite Dimension: Risk Analysis & Evaluation
Die „Risk Analysis & Evaluation“ bildet die Basis für das Non-Financial-Risk-Modell, welches die inhärenten Bedrohungen der NFR-Disziplinen identifiziert und deren Auswirkungen auf die Organisation sowohl qualitativ wie auch quantitativ in Form von NFR-Values beschreibt. Besonders wichtig ist hierbei die angemessene Quantifizierung der Risiken, um im Sinne der Proportionalität auch adäquate Lösungen entsprechend dem NFRM implementieren zu können. Oftmals besteht der Fehler darin, dass Lösungen entsprechend den Anforderungen des NFRM implementiert werden, jedoch selten dessen Angemessenheit im Sinne des Risikos verifiziert wird. Hierdurch kommt es zu einem Ungleichgewicht der Proportionalität innerhalb der Lösungen, wodurch an vielen Stellen zu komplexe sowie überdimensionierte Lösungen und/oder einfache und leistungsschwache Lösungen etabliert sind.
Dritte Dimension: Risk Treatment
Zu den entsprechenden identifizierten Non-Financial-Risks sind nun im Rahmen des Risk Treatments entsprechende NFRMitigation-Controls zu definieren. Wichtig ist hierbei auch qualitative und quantitative „Standard Criterias“ zu bestimmen. Während die qualitativen „Standard Criterias“ die Mindestanforderungen für eine adäquate Mitigierung des Risikos darstellen, werden durch die quantitativen „Standard Criterias“ der Mitigation entsprechende
Risk Values zugeordnet (numerische Risikoabschätzungen), die sich gemäß dem Implementierungslevel auf das Risikoniveau des NFRM auswirken. Hierbei, wie bereits oben erwähnt, wird insbesondere die Gewichtung für „critical“, „high“, „medium“ und „low“ Assets oder Asset Components differenziert, um NFR-Mitigation-Controls entsprechend der Kritikalität
implementieren zu können und somit die Proportionalität zu gewährleisten.
Vierte Dimension: Measurement of Implementation
Für eine langfristige Effektivität und Verifizierung der NFR-Mitigation-Controls ist ein zyklisches „Measurement of Implementation“ notwendig. Das Measurement wird hierbei durch die vordefinierten qualitativen und quantitativen „Standard Criterias“ innerhalb des Risk Treatments im angemessenen Rahmen ermöglicht. Darauf aufbauend führt eine regelmäßige Ermittlung und Anpassung der NFR-Values für die Organisation zu einer zielgenauen und dem Risk-Value entsprechenden Ermittlung der Risikokosten. Das Measurement verifiziert zum einen das Design im Hinblick auf die Erfüllung der qualitativen „Standard Criterias“ der implementierten NFR-Mitigation-Controls und zum anderen den Wirkungsgrad innerhalb der Organisation im Sinne der Effectiveness.
Fünfte Dimension: softwaregesteuertes NFRM
Für die fünfte Dimension „softwaregesteuertes NFRM“ ist es besonders bedeutungsvoll
zum einen ein, mit dem „NFR-Risk-Value-Ansatz“ kompatibles NFR-Tool zu implementieren und zum anderen bei der Auswahl auf explizite Entscheidungskriterien zu achten. Um vor allem die Kriterien „Proportionalität und Effizienz“ zu berücksichtigen ist es ratsam, die Kostenstrukturen des NFRTools im Verhältnis zum Mehrwert für die Organisation zu setzen. Denn je nach
Komplexität und Größe der Organisation wird die Entscheidung neben der üblichen
Kriterien – Kosten und Nutzen – aufgrund der Integrationsfähigkeit, Benutzerfreundlichkeit,
Anpassungsfähigkeit und Nachhaltigkeit gefällt. Für den Non-Financial-Risk-Value-
Ansatz ist für die Toolauswahl das Risikotracking und -reporting in Form von Risk-Values von
besonderer Bedeutung.
Jede der fünf Dimensionen trägt einen wertvollen Beitrag zur Orchestrierung der Proportionalität, Effektivität und Effizienz bei und ist elementarer Bestandteil des ganzheitlichen Non-Financial-Risk-Value-Ansatzes.
Abbildung 4: Exkurs: Quantitativer Teil des Non-Financial-Risk-Value-Ansatzes
Fazit
Der Non-Financial-Risk-Value-Ansatz hat seine besonderen Mehrwerte in der bedarfsgerechten Umsetzung von Non-Financial-Risk-Mitigation-Controls im Rahmen eines ganzheitlichen Frameworks, welches sowohl die Anforderungen der Non-Financial-Risk-Disziplinen erfüllt als auch stets je nach Kritikalität und Bedrohungsszenario Maßstäbe für die zu implementierenden Lösungen im Sinne der Orchestrierung von Proportionalität, Effizienz und Effektivität innerhalb
des Unternehmens – in der Breite und Tiefe – setzt.
Unsere Autoren: Veronika Dörffler & Cem Yardimci